อะไรคือ GDPR? ไม่ว่าบริษัทคุณจะอยู่ที่ไหน-โดนหมดกฏเหล็กคุ้มครองข้อมูลส่วนบุคคล

กฏหมายใหม่เกี่ยวข้องกับข้อมูลส่วนบุคคล GDPR ที่กำลังจะบังคับใช้ – บทความนี้จะพูดเกี่ยวกับเนื้อหาที่สำคัญ

GDPR ตอนนี้ถือว่าเป็นข่าวไปทั่วโลก, ไม่ว่าบริษัทของคุณจะไซด์ขนาดไหนก็ตาม-แต่มันเกี่ยวข้องกับทุกคนโดยตรงกับกฏข้อบังคับใหม่นี้.

กฏข้อบังคับใหม่นี้จะบังคับใช้ในวันที่ 25 พฤษภาคม 2018 ที่จะถึงนี้, ซึ่งทุกคนต้องเตรียมให้พร้อม. เรามาดูกันว่าในเนื้อหาข้อบังคับนั้นมีอะไรอยู่บ้าง

GDPR คืออะไร ?

GDPR ย่อมาจาก General Data Protection Regulation, (หรือ EU Regulation/กฎข้อบังคับจากฝั่งยุโรป 2016/679 หากต้องการรู้แบบเป็นทางการ) เป็นกฏข้อบังคับหรือกฏหมายใหม่ที่สำคัญซึ่งได้ผ่านการโหวดแล้วว่าจะถูกนำมาใช้และมันมีผลกระทบเป็นวงกว้างมากซึ่งเกี่ยวข้องโดยตรงกับ technology และ internet.

กฏหมายฉบับนี้ได้ผ่านร่างกฏหมายโดย European Union ในเดือน เมษายน 2016, และถูกกำหนดเอาไว้ว่าจะถูกนำออกมาใช้ใน UK วันที่ 25 พฤษภาคม, ในเนื้อหาของ GDPR ยังได้รวบรวมเอากฏหมายตัวเดิมและกฏข้อบังคับอื่นๆมารวมไว้อีกด้วยเพื่อบังคับใช้ใน EU.

 

เบื้องต้น,  มันมาแทนกฏหมายฉบับเดิม UK 1984 Data Protection Act และ EU Data Protection Directive, ซึ่งเริ่มใช้กันในปี 1995, ด้วยเนื้อหาใหม่นี้, ตัวบทจะมีความเหมาะสมกว่ากับโลกปัจจุบัน, รวมถึงเทคโนโลจีที่ใช้กันอยู่ ณ ตอนนี้.

จุดสำคัญของ GDPR ก็คือสิทธิส่วนบุคคลหรือ privacy rights และข้อมูลที่ถูกสร้างบนโลกออนไลน์, ซึ่งข้อบังคับนี้จะมีผลกระทบกับบริษัททุกขนาดที่ได้มีการได้มาซึ่งและรักษาข้อมูลของบุคคลนั้นๆ.

ภายใต้กฏ GDPR, ทางบริษัทต้องบอกรายละเอียดทั้งหมดยามเมื่อมีการเก็บข้อมูลส่วนบุคคลเกิดขึ้น (ลูกค้า). ต้องมีรายละเอียดที่แน่นอนให้ได้รับรู้และรายละเอียดทุกอย่างหากมีการนำไปใช้เพื่อประโยชน์อันใด.

แน่นอนว่าข้อมูลส่วนตัวต้องมีการใส่รหัสหรือ encrypted เสมอหรือ by default หรือเป็นขั้นตอนที่ควรปฏิบัตในเบื้องต้นรู้จักกันในแง่ pseudonymization, หมายความ-ว่าจะไม่มีการต่อเชื่อมแบบผิดวิธีไปยังบุคคลนั้นๆเพื่อให้ได้มาซึ่งข้อมูลเพิ่มเติมได้ในอนาคต.

ความหมายเกี่ยวกับข้อมูลส่วนบุคคลหรือ Personal data มีความหมายที่เกี่ยวข้องกับข้อมูลได้หลากหลาย – ไม่ว่ามันจะสามารถถูกนำไปใช้ได้โดยตรงหรือทางอ้อมก็ตามสำหรับข้อมูลส่วนบุคคลที่สามารถบ่งบอกได้ว่า-นี่คือคุณ-ในโลกออนไลน์. ประกอบไปด้วย ชื่อ/names, อีเมล์/email addresses, รูปลักษณะ/images, รายละเอียดทางธนาคาร/bank details, ข้อความที่โพสในโซเชียล/posts on social networking websites, ข้อมูลทางด้านยา/medical information, หรือแม้กระทั่ง computer IP address.

ผู้ใช้/ลูกค้า มีสิทธิ์ที่จะรับรู้รายละเอียดหากทางบริษัทหรือองค์กรได้เก็บข้อมูลส่วนบุคคลนั้นๆเอาไว้เพื่อ, และสามารถร้องขอให้ลบทิ้งได้หากต้องการซึ่งอันนี้ถือว่าเป็นหนึ่งในเนื้อหาใหม่ใน ‘right to erasure’.

หากทางบริษัทประสบปัญหาข้อมูลรั่วไหลหรือ data breaches, ไม่ว่าจะเป็นอุบัติเหตูหรือโดนจู่โจม/cyber-attack, ต้องแจ้งต่อเจ้าหน้าที่ๆเกี่ยวข้องภายใน 72 ชั่วโมงทันทีหลังจากเกิดเหตุการ์ณขึ้น, ไม่มีความจำเป็นต้องแจ้งต่อเจ้าของข้อมูลนั้นๆเว้นเสียแต่ถูกสั่งให้ปฏิบัติ.

ใครบ้างที่ต้องนำ GDPR มาปฏิบัติ?

ง่ายๆ, หากบริษัทคุณเกี่ยวข้องกับการให้บริการและขายสินค้าที่เกี่ยวข้องกับใครในฝั่งยุโรป, ทุกบริษัทตกอยู่ในเงื่อนไข GDPR หมด.

หมายความว่า, ถึงแม้บริษัทคุณจะอยู่นอกเขตยุโรปก็ตาม, ก็ยังตกอยู่ใต้กฏข้อบังคับนี้อยู่ดี. เหตุเพราะว่าหากมีรายชื่อเมลที่เป็น newsletters หรือโปรโมชั่น, และบุคคล/ลูกค้านั้นเป็นสัญชาตยุโรป, คุณต้องปฏิบัติตาม GDPR

เราควรเตรียมตัวอย่างไรให้พร้อมกับ GDPR?

อย่างที่กล่าวเอาไว้เบื้องต้น, หากลูกค้าของคุณอาศัยในฝั่ง EU, ต้องมั่นใจว่า วิธีที่คุณได้ข้อมูลส่วนบุคคลมานั้น, หรือเก็บรักษาและใช้, ทุกอย่างต้องเป็นไปตาม GDPR.

เบื้องต้น, คุณต้องแจกแจงรายละเอียดถึงข้อมูลที่มีอยู่ในมือ, และหมายถึงวิธีที่ได้มันมาด้วย. อันนี้จะเห็นได้บ่อยกับองค์กรต่างๆที่ไม่ระวังถึงข้อมูลส่วนบุคคลของลูกค้าที่มีอยู่ในมืออันมหาศาล – และอีกด้าน, ทางด้านลุกค้าก็เช่นกัน-ว่าได้เคยแชร์ข้อมูลของตนเองไปมากน้อยแค่ไหน.

ข้อมูลทั้งหมดต้องมีการจัดเก็บรักษาให้ถูกต้องและถูกวิธี, ซึ่งทั้งหมดนี้จะถูกนำไปใช้และปฏิบัติในกฏหมายฉบับนี้, และรวมถึงการนำไปใช้อย่างมีข้อจำกัดเพียงไม่กี่คนที่เป็นเจ้าหน้าที่ๆเกี่ยวข้องเท่านั้น.

ต้องมีการ backing up หรือเก็บข้อมูลไว้บ่อยครั้ง, เป็นเงื่อนไขของ GDPR, ลูกค้าจะสามารถเข้าถึงข้อมูลได้อย่างละเอียดในสิ่งที่คุณมีไม่ว่าเวลาใดก็ตาม.

หากบริษัทของคุณมีข้อมูลที่มีขนาดใหญ่, คุณควรที่จะต้องพิจรณาและมีเจ้าหน้าที่เกี่ยวข้องกับทางด้านนี้โดยเฉพาะ  Data Protection Officer (DPO).

DPO จะเป็นคนที่รับหน้าที่นี้หากยามใดก็ตามต้องเกี่ยวข้องกับ GDPR, ประกอบด้วย overseeing compliance/ดูแลทางด้านกฏหมายและ data protection/คุ้มครองรักษาข้อมูล.

สุดท้าย, คุณต้องแน่ใจว่า, พนักงานของคุณต่างทำความเข้าใจเกี่ยวกับ GDPR. เพราะกฏระเบียบนั้นไม่เพียงแต่มีผลกับกลุ่ม IT เท่านั้น, แต่มันหมายถึงทุกคนในองค์กร.

[embedyt] https://www.youtube.com/watch?v=7mMnDsp7Weg[/embedyt]

จะเป็นอย่างไรหากคุณไม่พร้อมกับเงื่อนไข GDPR-ready?

GDPR เป็นกฏเหล็ก, และบทลงโทษนั้นมหันต์. หากบริษัทที่ไม่มีความพร้อมหรือไม่ปฏิบัติตามหลังจากวันที่ 25 พฤษภาคม อาจจะเจอค่าปรับแบบหนักๆ, ค่าปรับเทียบเท่าหรือมูลค่า 4% ของมูลค่ามวลรวมทั้งโลก/annual global turnover, หรือเป็นเงิน €20 ล้านปอนด์, ขึ้นอยู่กับอันไหนมากกว่า.

ณ ตอนนี้ทุกคนต่างก็เฝ้าดูว่าผลกระทบของ GDPR จะเป็นเช่นไร, และโดยเฉพาะหากค่าปรับมันถูกบังคับใช้กับบริษัทไม่ว่าจะเล็กหรือใหญ่, แต่สิ่งที่ดีที่สุดสำหรับทุกคนตอนนี้ก็คือ, ต้องแน่นและเตรียมตัวให้พร้อม.

ที่มาเครดิต/Sources:

https://www.techradar.com/news/what-is-gdpr-everything-you-need-to-know